La maggior parte delle organizzazioni comprende che le persone svolgono un ruolo importante nel rischio informatico. Molte meno hanno creato un programma di formazione sulla sicurezza che cambi davvero i comportamenti.
Il rischio per la sicurezza legato all’elemento umano raramente si manifesta con un singolo incidente drammatico. Realisticamente, appare in momenti ordinari: un dipendente clicca su un’email di phishing convincente, riutilizza una password su vari strumenti di lavoro, condivide un login in una chat o ignora una richiesta di autenticazione a due fattori (2FA) perché la percepisce come un’interruzione invece che come una misura protettiva.
Nel tempo, queste decisioni quotidiane determinano l’esposizione dell’organizzazione. Nel Regno Unito, il quadro generale delle minacce rende impossibile trattare la questione come un problema minore. Il rapporto del governo britannico Cyber Security Breaches Survey 2025 ha rilevato che metà delle imprese ha subito un incidente o una violazione della sicurezza informatica negli ultimi 12 mesi e il phishing rimane il tipo di criminalità informatica più comune tra le aziende colpite.
Per i responsabili delle risorse umane, i CISO, i COO, i responsabili IT e i team di sicurezza, la formazione sulla sensibilizzazione alla sicurezza è molto più di un semplice esercizio di conformità. È il modo in cui le aziende riducono i rischi prevenibili. La sfida è che molti programmi sono ancora basati solo sul completamento di esercizi anziché sul cambiamento effettivo del comportamento. I membri del team guardano un video annuale, mettono una spunta e tornano alle stesse abitudini che hanno creato il rischio in primo luogo.
Un approccio più efficace tratta la sensibilizzazione come parte della cultura aziendale. Viene rinforzata nel tempo, plasmata in base al ruolo, supportata da Policy utilizzabili e sostenuta da strumenti che rendono più facile seguire la scelta sicura.
Spiegheremo come si presenta effettivamente un programma di sensibilizzazione sulla sicurezza efficace, perché così tante organizzazioni sbagliano e come costruirne uno che migliori il comportamento quotidiano invece di documentare semplicemente che la formazione è avvenuta.
Perché la formazione sulla sicurezza fallisce nella maggior parte delle organizzazioni
La formazione sulla sicurezza spesso fallisce perché viene trattata come un evento invece che come un sistema. In molte organizzazioni, il programma consiste in un modulo annuale di conformità, un breve quiz e poco altro. Ci si aspetta che il personale assorba consigli generici una volta all’anno e li applichi poi costantemente in centinaia di flussi di lavoro, strumenti e decisioni del mondo reale. Tutto ciò non basta a cambiare il comportamento in modo duraturo.
Il problema non è che la formazione manchi di valore, ma che molti programmi sono obsoleti o troppo distaccati dal modo in cui le persone lavorano effettivamente. Si affidano a promemoria astratti, mentre i rischi reali compaiono nelle caselle di posta, nei drive condivisi, nei reset delle password, nelle richieste urgenti dei manager e nelle decisioni quotidiane di accesso. Se la formazione non emula ciò che le persone vedono o fanno ogni giorno, è improbabile che lo ricordino o lo applichino.
I programmi di formazione dovrebbero includere una formazione iniziale e di aggiornamento per tutto il personale sulla protezione dei dati e sulla governance delle informazioni, mentre la sensibilizzazione dovrebbe utilizzare metodi di comunicazione regolari per mantenere visibili nel tempo la governance delle informazioni, la protezione dei dati e la sicurezza informatica. Questo suggerisce un modello continuo piuttosto che un singolo intervento annuale.
Un altro motivo per cui i programmi falliscono è che si concentrano troppo strettamente su ciò che i dipendenti non dovrebbero fare, ignorando la causa principale delle cattive abitudini. Dire al personale di non riutilizzare le password aiuta in teoria, ma serve a poco se l’azienda non ha fornito loro un modo sicuro e pratico per creare, archiviare e condividere le credenziali. Spiegare come individuare il phishing è utile, ma meno efficace se segnalare messaggi sospetti è poco chiaro o macchinoso.
Com’è fatto un vero programma di sensibilizzazione sulla sicurezza
Un vero programma di sensibilizzazione sulla sicurezza non è qualcosa che i dipendenti completano una volta e dimenticano. È un insieme continuo di abitudini, aspettative e tutele che aiuta le persone a prendere decisioni migliori in materia di sicurezza nel tempo.
Tutto inizia con la continuità. Utilizza risorse di formazione progettate per integrare le Policy e le procedure esistenti. Dovrebbero coprire aree pratiche come password robuste, best practice per il BYOD, phishing e segnalazione di incidenti. Questo mix è utile perché una sensibilizzazione efficace non si ferma a un solo argomento, ma deve riflettere l’insieme delle azioni di routine che plasmano la sicurezza nei luoghi di lavoro reali.
Ma la continuità da sola non basta. Il programma deve anche riflettere le reali differenze nel modo in cui i vari team affrontano il rischio.
Un programma efficace deve anche essere specifico per ogni ruolo. Un membro del team finanziario che gestisce richieste di pagamento non affronta lo stesso rischio quotidiano di un marketing manager che condivide account social o di un responsabile HR che gestisce i record dei dipendenti. I consigli generici hanno il loro posto, ma funzionano meglio se seguiti da una formazione pertinente ai sistemi, ai dati e ai modelli di attacco più rilevanti per ciascun gruppo.
Il componente successivo è la pratica. I dipendenti non sviluppano una migliore capacità di giudizio solo leggendo le regole. Migliorano attraverso l’esposizione ripetuta a scenari realistici: simulazioni di phishing, esercizi di segnalazione, revisioni degli accessi e brevi promemoria legati a strumenti o flussi di lavoro reali. Gli attacchi simulati sono particolarmente utili perché verificano se il programma influisce sul comportamento nei momenti che contano, anziché solo in un contesto di quiz.
Policy chiare sulla sicurezza e sulle password sono altrettanto importanti. Il personale deve sapere come creare, archiviare, condividere e rimuovere le credenziali quando non sono più necessarie, come segnalare i messaggi sospetti, quando è richiesto il 2FA e cosa fare se pensa di aver commesso un errore.
Infine, un vero programma tratta la sicurezza come una norma condivisa sul posto di lavoro piuttosto che come una preoccupazione IT specializzata. Ciò significa che i manager la rinforzano, i leader danno l’esempio e i team ne parlano come parte del modo in cui l’organizzazione opera quotidianamente. Costruire questo tipo di cultura richiede più di un documento di Policy, ma è uno dei modi più efficaci per ridurre l’errore umano ripetuto nel tempo.
La guida di Proton sulla cultura della sicurezza informatica nelle piccole imprese sul posto di lavoro è utile in questo caso perché inquadra la sensibilizzazione non come una campagna basata sulla paura, ma come parte del modo in cui un’azienda lavora ogni giorno.
Perché il phishing e l’abuso delle credenziali devono essere al centro del programma
Se un programma di sensibilizzazione sulla sicurezza cerca di coprire tutto allo stesso modo, rischia di perdere il focus. La maggior parte delle organizzazioni ottiene risultati migliori partendo dai rischi che hanno maggiori probabilità di produrre danni reali.
Il phishing occupa i primi posti di questa lista. Il rapporto del governo britannico Cyber Security Breaches Survey 2025(nuova finestra) ha rilevato che il phishing rimane il vettore di attacco più diffuso tra le imprese che hanno subito crimini informatici, colpendo il 93% di esse. Ciò riflette una realtà più ampia tra le aziende del Regno Unito, dove il phishing rimane uno dei metodi di attacco più comuni.
Il phishing raramente si esaurisce con il messaggio stesso. In molte organizzazioni, il danno reale inizia quando le credenziali rubate vengono usate per accedere agli account, sfruttare il riutilizzo delle password, spostarsi in altri sistemi o trarre vantaggio dai login condivisi che non sono mai stati controllati rigorosamente.
Le aziende devono utilizzare un approccio stratificato. Deve essere più difficile per gli aggressori raggiungere gli utenti e più facile per gli utenti identificare e segnalare messaggi di phishing sospetti. Questo protegge le organizzazioni dagli effetti delle email di phishing non rilevate e le aiuta a rispondere rapidamente agli incidenti.
Un solido programma di sensibilizzazione sulla sicurezza dovrebbe riflettere questa stessa logica. I dipendenti devono essere in grado di riconoscere i comportamenti sospetti, ma hanno anche bisogno di controlli circostanti che riducano l’impatto di un eventuale errore.
È qui che l’igiene delle credenziali diventa centrale. Formare il personale affinché eviti password deboli o riutilizzate è utile, ma diventa molto più efficace se supportato da strumenti che riducono la dipendenza dalla memoria e rendono più facile l’uso sicuro delle credenziali nella pratica. Approfondiamo questo approccio preventivo più ampio anche nella nostra guida alla prevenzione delle violazioni dei dati per le aziende, che sottolinea il ruolo dei controlli pratici nel ridurre l’esposizione evitabile.
Il ruolo degli strumenti nella riduzione del rischio umano
La sensibilizzazione sulla sicurezza è solo una parte del quadro complessivo. Le persone hanno molte più probabilità di seguire pratiche sicure quando queste si inseriscono naturalmente nel loro modo di lavorare. Se l’opzione più sicura è anche la più facile da usare, l’adozione è molto più costante. Se risulta lenta, scomoda o difficile da usare, anche i dipendenti con le migliori intenzioni inizieranno a cercare scorciatoie.
La gestione delle password è uno degli esempi più chiari. Le organizzazioni spesso dicono al personale di creare password forti e uniche, usare la 2FA ed evitare di condividere le credenziali. Ma a meno che ai dipendenti non venga dato un modo pratico per farlo, l’istruzione rimane un’aspirazione. Finiscono per ripiegare su password facili da ricordare, sull’archiviazione nel browser, su fogli di calcolo, app di note o strumenti di messaggistica perché queste opzioni sembrano più veloci al momento.
Un gestore di password aziendale aiuta a colmare questo divario. Proton Pass for Business è progettato per facilitare la creazione, l’archiviazione e la condivisione sicura delle password tra i team, offrendo al contempo alle organizzazioni un maggiore controllo sulle pratiche relative alle credenziali. Queste funzionalità aiutano i dipendenti a creare e inserire automaticamente password forti e uniche, a usare la 2FA su tutti gli account e a proteggere le credenziali archiviate con la crittografia end-to-end.
Questo non sostituisce la formazione sulla sensibilizzazione alla sicurezza, ma la rafforza rendendo più semplice seguire un comportamento sicuro. Invece di chiedere al personale di ricordare decine di regole complesse per le password, offri loro un sistema che supporti il comportamento desiderato. Ciò rende le buone pratiche di sicurezza più facili da mantenere e l’applicazione della Policy più realizzabile.
Lo stesso vale per la segnalazione degli incidenti, il controllo degli accessi e l’onboarding. In queste aree, gli strumenti sono spesso necessari per fornire ai dipendenti un processo chiaro da seguire e all’organizzazione una supervisione e un controllo costanti. Gli strumenti non possono sostituire il giudizio, ma possono rendere le azioni sicure più facili, veloci e coerenti nel lavoro quotidiano.
Un framework pratico in 6 passaggi per lanciare o migliorare il tuo programma di sensibilizzazione sulla sicurezza
Un programma di sensibilizzazione sulla sicurezza funziona meglio quando è concepito come un ritmo operativo piuttosto che come una singola campagna. Il framework qui sotto può aiutarti a iniziare.
Passaggio 1: Definisci i comportamenti specifici che vuoi cambiare
Inizia dal rischio. Identifica i comportamenti che hanno maggiori probabilità di esporre la tua organizzazione. Questi possono includere il clic su link sospetti, il riutilizzo delle password, la condivisione informale delle credenziali, la mancata segnalazione di incidenti, flussi di lavoro di offboarding deboli o la gestione errata di dati personali come le informazioni dei clienti o dei dipendenti.
Passaggio 2: Dai la priorità agli scenari a più alto rischio
Non tutti gli argomenti di formazione devono avere lo stesso peso. Concentrati prima sugli scenari più rilevanti per il profilo di minaccia e il modello operativo della tua organizzazione.
Per molte aziende, ciò significa phishing, gestione delle credenziali, controllo degli accessi e segnalazione degli incidenti. L’obiettivo in questa fase è concentrare la formazione del personale sui comportamenti e sugli scenari che hanno maggiori probabilità di ridurre il rischio quotidiano.
Passaggio 3: Segmenta la formazione per ruolo
La sensibilizzazione sulla sicurezza ha molte più probabilità di cambiare il comportamento quando i dipendenti possono riconoscere la propria realtà lavorativa nella formazione. Ruoli diversi creano tipi diversi di esposizione, che si tratti di gestire record sensibili, approvare richieste ad alto rischio, gestire accessi privilegiati o condividere informazioni con contatti esterni.
Un programma più efficace riflette queste differenze invece di dare a tutti gli stessi consigli astratti. Più la formazione è vicina alle decisioni che le persone affrontano effettivamente, più facile diventa applicarla nella pratica.
Passaggio 4: Costruisci un ritmo di rinforzo
Una sessione di formazione annuale una tantum non è sufficiente per cambiare il comportamento. Usa l’inserimento lavorativo, corsi di aggiornamento, brevi promemoria, esercitazioni di simulazione e comunicazioni regolari per mantenere attivi i messaggi chiave. Il rinforzo può essere leggero, ma deve essere continuo.
Passaggio 5: Supporta la formazione con Policy e strumenti
La formazione diventa molto più credibile quando i dipendenti vedono come applicarla nella pratica. Assicurati quindi che le Policy siano chiare, facili da trovare e scritte in un linguaggio che i dipendenti possano effettivamente usare. Poi supportali con funzionalità che rendano più semplice seguire i comportamenti sicuri nella pratica.
Se la tua Policy dice che lo staff deve usare password forti e uniche ed evitare la condivisione informale, fornisci loro un gestore di password sicuro che faciliti il compito. Se la tua Policy dice che le email sospette devono essere segnalate immediatamente, rendi il percorso di segnalazione ovvio e senza attriti.
Passaggio 6: Rivedi, misura e migliora
Un programma di sensibilizzazione sulla sicurezza dovrebbe evolversi insieme alla tua attività. Nuovi strumenti, cambi di ruolo, incidenti e tipi di attacco creano tutti nuovi punti di pressione.
Rivedi i risultati regolarmente, aggiorna la formazione in base agli incidenti e ai mancati incidenti, e adegua il programma quando trovi punti deboli ricorrenti. L’obiettivo non è finire il programma, ma renderlo più efficace nel tempo.
Come misurare l’impatto
Uno degli errori più facili da commettere con la formazione sulla sicurezza è misurare ciò che è comodo invece di ciò che è significativo. I tassi di completamento possono dirti chi ha guardato la formazione o cliccato sul modulo, ma dicono molto poco sull’influenza del programma sul comportamento nei momenti che comportano effettivamente dei rischi.
Un approccio più utile è osservare come cambia nel tempo il modo in cui le persone rispondono alle situazioni reali. I risultati delle simulazioni di phishing possono aiutarti a capire se i dipendenti stanno diventando più cauti, più attenti e più propensi a mettere in dubbio e segnalare messaggi sospetti.
Gli incidenti legati alle credenziali possono mostrare se le abitudini rischiose, come il riutilizzo della password, la condivisione non sicura o la cattiva gestione degli account, stiano diventando meno comuni. L’adesione alla Policy può anche rivelare se i dipendenti stiano effettivamente applicando le aspettative stabilite dal programma, anziché esserne semplicemente esposti.
È altrettanto importante monitorare i segnali operativi. Con quanta rapidità vengono segnalate le email sospette o le richieste insolite? L’MFA viene attivata costantemente dove dovrebbe? I diritti di accesso vengono revocati prontamente durante l’offboarding? I team con maggiore esposizione mostrano un giudizio più solido in scenari realistici man mano che il programma si sviluppa?
Questi sono spesso gli indicatori che mostrano se la consapevolezza stia diventando parte del modo in cui lavora l’organizzazione, invece di rimanere confinata a un ambiente di formazione.
In definitiva, la vera prova non è se i dipendenti abbiano completato il programma. È se la tua organizzazione riscontra meno errori evitabili, migliori abitudini di segnalazione e un comportamento di sicurezza quotidiano più solido come risultato.
